Porque los que te vendieron el firewall te dieron atole con el dedo – Parte 2

En la primera parte estábamos hablando de cómo puede impactar un incidente de seguridad a una empresa u organización cuando esta no cuenta con soluciones de seguridad para proteger la información; pues continuemos con el tema del Centro Médico Presbiteriano de Hollywood en California, el cual como se mencionó fue afectado por este tipo de malware llamado ransomware.

medicaldata

Como sabemos en las computadoras de un hospital se encuentran diagnósticos y constantes, toda información extremadamente relevante para la salud de los pacientes/clientes del centro médico. Dicha información fue secuestrada y los criminales pidieron en un principio 9,000 bitcoins (el Bitcoin es una moneda electrónica para intercambiar bienes y servicios en Internet) que equivalen aproximadamente unos 3.6 millones de dólares, pero al final se realizó una negociación con los criminales y todo quedó en 17,000 dólares.

Como podrán darse cuenta, este y muchos otros tipos de ataques se han convertido en una gran amenaza, sobre todo cuando se centran en entidades y organizaciones las cuales, en caso de perder sus datos y archivos, equivaldría a enfrentar grandes pérdidas económicas o les supondría casi la ruina. Un alto porcentaje de los ataques identificados en México y en el resto del mundo son efectivos por falta de una solución de seguridad, como por ejemplo un sistema de prevención de intrusos, un filtrado de correo electrónico y una efectiva solución antivirus.

Cuando tu empresa no cuente con ningún tipo de protección, este es el escenario que puede presentarse de un día para otro: este año nos buscó una empresa a la que hacía unos ayeres les ofrecíamos nuestros servicios, alarmados nos comentaron que información en sus computadoras estaba cifraba y les aparecían mensajes pidiendo dinero para el rescate y devolución de su información, también detectaban que alguien más estaba conectándose en computadoras de la empresa y les movía información (también se la llevaba) y por último detectaron que un día despertaron y la página web de la empresa tenía una imagen de una ballena y un bonito mensaje que decía “Liberen a Willy”.

Para lo anterior les mencionamos que eran ataques e intrusiones que podían venir de Internet o también de alguna memoria USB infectada; malware (ransomware, troyanos, backdoors, etc.) y ataques de inyección de código en su sitio web. Su principal preocupación no fue de investigar sobre el origen del problema, sólo buscaban solucionarlo para que no volviera a pasar. Les apoyamos con la revisión del código de sus sitios web y algunas capacitaciones para los usuarios que desarrollaban y daban soporte a los sitios web y aplicativos publicados por la empresa hacia todo público en Internet.

ngfw

Por otro lado, les ofrecimos una solución de seguridad; un Next Generation Firewall (NGFW), les mencionamos que es un Firewall “con esteroides”, un dispositivo que ha evolucionado y que además de filtrar conexiones, incorpora muchas otras funcionalidades de seguridad como anti-malware (anti-virus, anti-spyware, anti-spam), IPS (Sistema de Prevención de Intrusiones), Filtrado de Aplicaciones, Filtrado Web, VPN (Red Privada Virtual), entre otras soluciones que a través de un análisis exhaustivo del tráfico de su red permitirían detectar, contener y con ello minimizar los riesgos a los que estaban expuestos, como cualquier otra empresa que publica sitios o aplicativos para que sean accesibles desde cualquier parte de Internet.

Una vez definidas todas las políticas, se implementó el dispositivo NGFW, se añadieron dichas políticas juntas con los perfiles de seguridad para bloquear intentos de ataques hacia la red de nuestro cliente y pusimos en marcha una fase de monitoreo de seguridad para poder hacer una afinación efectiva que apoyara con el bloqueo de la mayoría de ataques y agentes maliciosos comunes, basándonos en los activos de la empresa.

monitoring

Durante el tiempo que monitoreamos la red del cliente en tiempo real 24×7,  detectamos que muchos ataques provenían de archivos maliciosos que llegaban por correo electrónico a los buzones de los usuarios de la empresa, entonces pensamos: “ellos sin conocimiento en temas de seguridad abrirían los archivos e infectarían sus computadoras y además los códigos contenidos en los archivos infectados causarían mayores estragos en la red del cliente; aunado a esto, ingresarían memorias USB para pasar información a otras computadoras, afectando a más usuarios dentro de la red sin percatarse de ello”. También detectamos intentos de ataques de inyección de Código SQL (para recopilar información desde las bases de datos), ataques de cross site scripting (ataques de inyección de código malicioso hacia aplicaciones web), sscaneos a la red y aplicativos del cliente (para identificar los servidores con información crítica para el negocio), entre otras actividades más, las cuales fueron correctamente identificadas y bloqueadas por el Next Generation Firewall.

En los flujos de la red Interna detectamos, además, el envío de archivos maliciosos, detectamos incluso algunos usuarios que se intentaban conectar a recursos a los que no deberían tener acceso, entre otras generalidades más las cuales fueron reportadas a nuestro cliente.

El desenlace fue feliz, en general los servicios críticos de cualquier empresa pueden estar lo más seguros posibles cuando cuentas con mecanismos de detección eficientes y eficaces que refuercen la seguridad de la información, sea el caso de un NGFW que contenga módulos de antivirus, IPS, Filtrado web y de correo electrónico, DLP, entre otros, o algún servidor por separado dedicado a cada una de las funciones de los módulos de un NGFW.

karikatur für titelseite-steuerpardies

Si solo Mossack Fonseca se hubiera enterado por tiempo de estas soluciones de seguridad, probablemente el escándalo de Panama Papers no hubiera ocurrido. De todas formas las empresas offshore seguirán existiendo a pesar de la implementación de mecanismos para proteger la información, pero este es otro asunto…

La seguridad informática no es un evento si no un proceso, un proceso en el cual se encuentran involucradas varias partes, tanto tecnológicas que humanas que dependen la una de la otra. Debes de estar conciente que un firewall es simplemente un dispositivo que pertenece a la capa tecnológica y no lo puede todo, asumir que te va a proteger contra todo tipo de ataques significa acercarte paulatinamente a tu próximo incidente de seguridad.